Хакеры находят способы обойти новейшие инструменты кибербезопасности

(Блумберг) -- Поскольку хакерство стало более разрушительным и распространенным, мощный инструмент от таких компаний, как CrowdStrike Holdings Inc. и Microsoft Corp., стал благом для индустрии кибербезопасности.

Самые читаемые по версии Bloomberg

Китай использует глобальный юань в попытке дать отпор доллару, превращенному в оружие

Зеленский отрицает, что Украина отправляла дроны для ударов по Путину и Кремлю

TD, First Horizon прекращает слияние на сумму 13 миллиардов долларов, поскольку регулирующие органы застопорились

PacWest взвешивает стратегические варианты, включая возможную продажу

Банковская драма продолжается; Apple растет в конце торгов: итоги рынков

Программное обеспечение, называемое программным обеспечением для обнаружения и реагирования на конечные точки, предназначено для обнаружения ранних признаков вредоносной активности на ноутбуках, серверах и других устройствах – «конечных точках» в компьютерной сети – и блокирует их до того, как злоумышленники смогут украсть данные или заблокировать машины.

Но эксперты говорят, что хакеры разработали обходные пути для некоторых форм технологии, позволяющие им обойти продукты, которые стали золотым стандартом защиты критически важных систем.

Например, за последние два года компания Mandiant, входящая в подразделение Google Cloud компании Alphabet Inc., расследовала 84 нарушения, в результате которых EDR или другое программное обеспечение для обеспечения безопасности конечных точек было подделано или отключено, сказал Тайлер Маклеллан, главный аналитик угроз компании компания.

По словам Марка Керфи, который занимал руководящие должности в McAfee и Microsoft, а теперь является специалистом по кибербезопасности, полученные результаты представляют собой новейшую эволюцию игры в кошки-мышки, которая длилась десятилетиями, пока хакеры адаптировали свои методы для преодоления новейших средств защиты кибербезопасности. предприниматель в Великобритании.

«Взлом инструментов защиты безопасности не является чем-то новым», — сказал он, добавив, что «призом в случае успеха станет доступ ко всем использующим их системам, которые по определению заслуживают защиты».

Следователи из нескольких фирм, занимающихся кибербезопасностью, заявили, что количество атак, в которых EDR отключен или обходится, невелико, но растет, и что хакеры становятся все более изобретательными в поиске способов обойти более надежную защиту, которую он обеспечивает.

В декабре Microsoft сообщила в своем блоге, что хакеры обманом заставили компанию применить печать подлинности к вредоносному ПО, которая затем использовалась для отключения EDR компании и других инструментов безопасности в сетях жертв. Microsoft заблокировала учетные записи сторонних разработчиков, причастных к уловке, и заявила, что компания «работает над долгосрочными решениями для борьбы с этими обманными практиками и предотвращения будущих последствий для клиентов».

В феврале компания Arctic Wolf Networks подробно рассказала о случае, который она расследовала в конце прошлого года, когда хакеры из группы вымогателей Lorenz изначально были заблокированы EDR жертвы. Хакеры перегруппировались и развернули бесплатный инструмент цифровой криминалистики, который позволил им получить прямой доступ к памяти компьютеров и успешно развернуть программы-вымогатели, минуя EDR, сообщила компания. Arctic Wolf не назвал ни жертву, ни пострадавшего EDR.

А в апреле Sophos Group раскрыла новую вредоносную программу, обнаруженную британской фирмой, которая использовалась для отключения инструментов EDR от Microsoft, самой Sophos и нескольких других компаний перед развертыванием программ-вымогателей Lockbit и Medusa Locker. «Тактика обхода EDR и отключения защитного программного обеспечения явно набирает популярность», — сказал Кристофер Бадд, старший менеджер по исследованию угроз. «Из-за характера такого рода атак их особенно сложно обнаружить, поскольку они нацелены на те самые инструменты, которые обнаруживают и предотвращают кибератаки».

По данным IDC, в прошлом году рынок EDR и других новых технологий безопасности конечных точек вырос на 27% и достиг $8,6 млрд во всем мире, во главе с CrowdStrike и Microsoft.

Адам Мейерс, старший вице-президент по разведке CrowdStrike, заявил, что растущее число атак на программное обеспечение EDR показывает, что хакеры «эволюционируют». По его словам, многие из атак, которые отслеживает CrowdStrike — на свои продукты и продукты, предлагаемые конкурентами, — связаны с неправильными настройками клиентских систем или уязвимостями глубоко в программном обеспечении или прошивке, что свидетельствует о том, что хакерам приходится прикладывать больше усилий, чтобы проникнуть в целевые сети, сказал он.